S tolika weby a aplikacemi, které vyžadují jedinečné přihlašovací údaje uživatele, tedy uživatelské jméno a heslo, by mohlo být lákavé používat stejné přihlašovací údaje na všech těchto platformách.
Ve skutečnosti, podle výroční zprávy o vystavení identity za rok 2022 od SpyCloud, která analyzovala více než 15 miliard kompromitovaných přihlašovacích údajů dostupných na kriminálních podzemních stránkách, bylo zjištěno, že 65 procent prolomených hesel bylo použito pro nejméně dva účty.
Uživatelům, kteří opakovaně používají přihlašovací údaje na různých platformách, se to může zdát jako důmyslný způsob, jak se vyhnout zapomenutí hesel, ale ve skutečnosti je to katastrofa, která teprve čeká.
V případě, že dojde ke kompromitaci jednoho ze systémů a vaše přihlašovací údaje budou zachyceny, hrozí ohrožení všechny ostatní účty používající stejné přihlašovací údaje. S ohledem na to, že kompromitované přihlašovací údaje se na temném webu prodávají levně, můžete se snadno stát obětí vycpávání přihlašovacích údajů.
Plnění přihlašovacích údajů je kybernetický útok, při kterém útočníci používají odcizené přihlašovací údaje pro online účet nebo systém, aby se pokusili získat přístup k jiným nesouvisejícím online účtům nebo systémům.
Příkladem toho je zlomyslný aktér, který získá přístup k vašemu uživatelskému jménu a heslu pro váš Twitter účet a pomocí těchto kompromitovaných přihlašovacích údajů se pokusí získat přístup k účtu Paypal.
V případě, že používáte stejné přihlašovací údaje na Twitteru a Paypal, váš účet Paypal bude převzat z důvodu porušení vašich přihlašovacích údajů na Twitteru.
V případě, že používáte své přihlašovací údaje pro Twitter na více online účtech, mohou být tyto online účty také ohroženy. Takový útok je známý jako credential stuffing a využívá skutečnosti, že mnoho uživatelů znovu používá přihlašovací údaje na více online účtech.
Zlomyslní aktéři provádějící útoky na plnění pověření obvykle používají roboty k automatizaci a škálování procesu. To jim umožňuje používat velké množství kompromitovaných přihlašovacích údajů a cílit na více online platforem. S únikem kompromitovaných přihlašovacích údajů z úniků dat a také prodejem na temném webu se staly převládajícími útoky na vycpávání přihlašovacích údajů.
Table of Contents
Jak funguje plnění pověření
Útok nacpáním přihlašovacích údajů začíná získáním kompromitovaných přihlašovacích údajů. Tato uživatelská jména a hesla lze zakoupit na temném webu, získat přístup ze stránek s výpisem hesel nebo je lze získat z narušení dat a phishingových útoků.
Dalším krokem je nastavení robotů pro testování ukradených přihlašovacích údajů na různých webech. Automatizované roboty jsou hlavním nástrojem při útocích na vycpávání pověření, protože boti mohou tajně provádět plnění pověření pomocí velkého počtu pověření proti mnoha webům při vysokých rychlostech.
Výzva, že IP adresa bude zablokována po několika neúspěšných pokusech o přihlášení, je také zabráněna pomocí robotů.
Když je spuštěn útok nacpáním pověření, souběžně s útokem na vyplnění pověření se spouští také automatizované procesy pro sledování úspěšného přihlášení. Útočníci tak snadno získají přihlašovací údaje, které fungují na určitých online stránkách, a použijí je k převzetí účtu na platformách.
Jakmile útočníci získají přístup k účtu, záleží na jejich uvážení, co s ním mohou dělat. Útočníci mohou prodat přihlašovací údaje dalším útočníkům, ukrást citlivé informace z účtu, spáchat identitu nebo použít účet k online nákupům v případě, že dojde ke kompromitaci bankovního účtu.
Proč jsou útoky na vycpávání pověření účinné
Credential Stuffing je kybernetický útok s velmi nízkou úspěšností. Ve skutečnosti podle zprávy The Economy of Credential Stuffing Attacks Report společnosti Insikt Group, která je divizí pro výzkum hrozeb Recorded Future, se průměrná úspěšnost útoků nacpáním pověření pohybuje mezi jedním až třemi procenty.
Přestože je míra úspěšnosti nízká, společnost Akamai Technologies ve své zprávě o stavu internetu / zabezpečení z roku 2021 uvedla, že v roce 2020 zaznamenala společnost Akamai celosvětově 193 miliard útoků na vycpávání pověření.
Důvodem vysokého počtu útoků nacpáním pověření a toho, proč se stávají stále rozšířenější, je počet dostupných kompromitovaných pověření a přístup k pokročilým nástrojům botů, díky nimž jsou útoky nacpáním pověření efektivnější a téměř nerozeznatelné od pokusů o přihlášení lidí.
Například i při nízké úspěšnosti pouhého jednoho procenta, pokud má útočník 1 milion kompromitovaných přihlašovacích údajů, může kompromitovat asi 10 000 účtů. Na temném webu se obchoduje s velkým objemem kompromitovaných přihlašovacích údajů a takové velké objemy kompromitovaných přihlašovacích údajů lze znovu použít na více platformách.
Tyto velké objemy kompromitovaných přihlašovacích údajů mají za následek zvýšení počtu kompromitovaných účtů. To ve spojení se skutečností, že lidé nadále opakovaně používají své přihlašovací údaje na více online účtech, se útoky nacpané přihlašovacími údaji stávají velmi efektivními.
Plnění pověření vs. Útoky hrubou silou
Ačkoli jsou útoky na vycpávání pověření i útoky hrubou silou útoky na převzetí účtu a projekt Open Web Application Security Project (OWASP) považuje vycpávání pověření za podmnožinu útoků hrubou silou, oba se liší ve způsobu jejich provádění.
Při útoku hrubou silou se zlomyslný hráč pokouší převzít účet tím, že uhodne uživatelské jméno nebo heslo nebo obojí. To se obvykle provádí tak, že se vyzkouší co nejvíce možných kombinací uživatelských jmen a hesel bez kontextu nebo ponětí o tom, co to může být.
Hrubá síla může používat běžně používané vzory hesel nebo slovník běžně používaných hesel, jako je Qwerty, heslo nebo 12345. Útok hrubou silou může být úspěšný, pokud uživatel používá slabá hesla nebo výchozí hesla systému.
Útok zaplňující přihlašovací údaje se na druhé straně pokouší převzít účet pomocí kompromitovaných přihlašovacích údajů získaných z jiných systémů nebo online účtů. Při útoku nacpáním pověření útok neuhodne pověření. Úspěch útoku nacpáním pověření závisí na tom, že uživatel znovu použije své pověření na více online účtech.
Typicky je míra úspěšnosti útoků hrubou silou mnohem nižší než doplňování pověření. Útokům hrubou silou lze zabránit používáním silných hesel. Použití silných hesel však nemůže zabránit naplnění pověření v případě, že je silné heslo sdíleno mezi více účty. Plnění přihlašovacích údajů je zabráněno používáním jedinečných přihlašovacích údajů na online účtech.
Jak zjistit útoky na vycpávání pověření
Aktéři hrozby nacpáním pověření obvykle používají roboty, které napodobují lidské agenty, a často je velmi obtížné rozlišit pokus o přihlášení od skutečného člověka a pokus od robota. Stále však existují náznaky, které mohou signalizovat pokračující útok naplňování pověření.
Například náhlý nárůst webového provozu by měl vyvolat podezření. V takovém případě sledujte pokusy o přihlášení na web a v případě, že dojde ke zvýšení pokusů o přihlášení na více účtech z více IP adres nebo ke zvýšení míry neúspěšnosti přihlášení, může to znamenat pokračující útok nacpáním pověření.
Dalším indikátorem útoku na vycpávání přihlašovacích údajů je stěžování si uživatelů na zablokování svých účtů nebo přijímání upozornění na neúspěšné pokusy o přihlášení, které neudělali.
Kromě toho sledujte aktivitu uživatelů a v případě, že zaznamenáte neobvyklou aktivitu uživatelů, jako je provádění změn v jejich nastavení, profilových informacích, převodech peněz a online nákupech, může to signalizovat útok na vycpávání pověření.
Jak se chránit před ucpáním pověření
Existuje několik opatření, která lze přijmout, abyste se nestali obětí útoků nacpajících pověření. To zahrnuje:
#1. Vyhněte se opakovanému použití stejných přihlašovacích údajů na více účtech
Plnění přihlašovacích údajů závisí na tom, zda uživatel sdílí přihlašovací údaje mezi více online účty. Tomu se lze snadno vyhnout použitím jedinečných přihlašovacích údajů na různých online účtech.
Se správci hesel, jako je Google Password Manager, mohou uživatelé stále používat jedinečná a velmi hesla, aniž by se museli obávat, že zapomenou své přihlašovací údaje. Společnosti to mohou také prosadit tím, že zabrání používání e-mailů jako uživatelských jmen. Tímto způsobem je pravděpodobnější, že uživatelé budou používat jedinečné přihlašovací údaje na různých platformách.
#2. Použít vícefaktorové ověření (MFA)
Vícefaktorová autentizace je použití více metod k ověření identity uživatele, který se pokouší přihlásit. To lze implementovat kombinací tradičních metod ověřování uživatelského jména a hesla spolu s tajným bezpečnostním kódem sdíleným s uživateli prostřednictvím e-mailu nebo textové zprávy. k dalšímu potvrzení jejich totožnosti. To je velmi účinné při předcházení naplňování pověření, protože přidává další vrstvu zabezpečení.
Může vám dokonce dát vědět, když se někdo pokusí ohrozit váš účet, protože získáte bezpečnostní kód, aniž byste o něj žádali. MFA je tak efektivní, že studie společnosti Microsoft zjistila, že online účty mají o 99,9 procent menší pravděpodobnost, že budou kompromitovány, pokud používají MFA.
#3. Zařízení otisků prstů
Fingerprinting zařízení lze použít k přiřazení přístupu k online účtu ke konkrétnímu zařízení. Fingerprinting zařízení identifikuje zařízení, které se používá pro přístup k účtu, mimo jiné pomocí informací, jako je model zařízení a číslo, používaný operační systém, jazyk a země.
Tím se vytvoří jedinečný otisk zařízení, který je následně spojen s uživatelským účtem. Přístup k účtu pomocí jiného zařízení není povolen bez povolení uděleného zařízením přidruženým k účtu.
#4. Sledujte únik hesel
Když se uživatelé snaží vytvořit uživatelská jména a hesla pro online platformu, místo aby jen kontrolovali sílu hesel, lze přihlašovací údaje porovnat s publikovanými uniklými hesly. To pomáhá zabránit použití přihlašovacích údajů, které lze později zneužít.
Organizace mohou implementovat řešení, která monitorují přihlašovací údaje uživatelů proti úniku přihlašovacích údajů na temném webu a upozorní uživatele, kdykoli je nalezena shoda. Uživatelé pak mohou být požádáni, aby ověřili svou identitu pomocí různých metod, změnili přihlašovací údaje a také implementovali MFA pro další ochranu svého účtu.
#5. Hashování pověření
To zahrnuje zakódování uživatelských pověření před jejich uložením do databáze. To pomáhá chránit před zneužitím přihlašovacích údajů v případě narušení dat systémů, protože přihlašovací údaje budou uloženy ve formátu, který nelze použít.
Ačkoli to není spolehlivá metoda, může uživatelům poskytnout čas na změnu hesla v případě úniku dat.
Příklady útoků na vycpávání pověření
Některé pozoruhodné příklady útoků nacpajících pověření zahrnují:
- Krádež více než 500 000 přihlašovacích údajů Zoom v roce 2020. Tento útok nacpaný přihlašovacími údaji byl proveden pomocí uživatelských jmen a hesel získaných z různých temných webových fór, přičemž přihlašovací údaje získané z útoků pocházejících již z roku 2013. Ukradené přihlašovací údaje zoomu byly zpřístupněny na tmavém web a prodal levně ochotným kupujícím
- Kompromis na tisících uživatelských účtů Canada Revenue Agency (CRA). V roce 2020 bylo přibližně 5500 účtů CRA kompromitováno ve dvou samostatných útocích na pověření, což mělo za následek, že uživatelé neměli přístup ke službám nabízeným CRA.
- Kompromis 194 095 uživatelských účtů The North Face. The North Face je společnost zabývající se prodejem sportovního oblečení a v červenci 2022 utrpěla útok na vycpávání pověření. Výsledkem útoku bylo únik celého jména uživatele, telefonního čísla, pohlaví, věrnostních bodů, fakturační a dodací adresy, data vytvoření účtu, a historii nákupů.
- Útok naplnění přihlašovacími údaji na Reddit v roce 2019. Několik uživatelů Redditu bylo uzamčeno ze svých účtů poté, co byly jejich přihlašovací údaje kompromitovány útoky nacpanými přihlašovacími údaji.
Tyto útoky zdůrazňují důležitost potřeby chránit se před podobnými útoky.
Závěr
Možná jste narazili na prodejce přihlašovacích údajů pro streamovací weby, jako jsou Netflix, Hulu a disney+, nebo online služby, jako je Grammarly, Zoom a Turnitin, mimo jiné. Kde si myslíte, že prodejci získávají pověření?
Taková pověření se pravděpodobně získají prostřednictvím útoků nacpáním pověření. Pokud používáte stejné přihlašovací údaje na více online účtech, je čas je změnit, než se stanete obětí.
Chcete-li se dále chránit, implementujte vícefaktorové ověřování na všechny své online účty a vyhněte se nákupu kompromitovaných přihlašovacích údajů, protože to vytváří prostředí umožňující útoky nacpané pověřeními.